Почему некоторые группы являются «группами», а некоторые — «встроенными»?

могу ли я переместить все группы по умолчанию (и пользователей) во встроенные? по какой причине некоторые из них находятся в папке groups/users. например: «Разрешенная группа репликации паролей RODC».

Встроенный контейнер — это контейнер по умолчанию для групп безопасности с префиксом встроенного SID домена S-1-5-32. Идентификаторы SID для заданного встроенного субъекта безопасности одинаковы во всех системах Windows и не содержат SID домена.

Контейнер пользователей — это контейнер по умолчанию для пользователей и групп, которые не являются встроенными.

Нет причин перемещать какие-либо объекты в контейнер Builtin или из него.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers

«SID для встроенных учетных записей и групп всегда имеют одно и то же значение идентификатора домена: 32. Это значение определяет встроенный домен, который существует на каждом компьютере, на котором работает версия операционной системы Windows Server. встроенные учетные записи и группы компьютера из встроенных учетных записей и групп другого компьютера, поскольку они являются локальными по своему охвату».

ВСТРОЕННЫЕ группы — это исходные локальные группы первого контроллера домена в лесу (поэтому в SID стоит «32»). Хотя все группы в некотором смысле локальны для контроллеров домена, вы обнаружите, что эти группы по существу являются «общими» локальными группами контроллеров домена. За прошедшие годы было добавлено больше таких групп, специфичных для контроллера домена (например, «Разрешенная группа репликации паролей RODC»).

Примеры:

• добавление пользователя в группу BUILTIN\Remote Desktop Users предоставляет RDP-доступ к контроллерам домена.
• добавление пользователя в группу пользователей удаленного управления предоставляет WinRM доступ к контроллерам домена
• Операторы печати? Это управление принтером на контроллерах домена (которое вам никогда не следует делать).

Это самый простой способ для меня понять. Лучший способ думать о них — как правило, вы не должны использовать эти группы ни для чего другого.

Что касается того, могут ли они быть перемещены или нет? Обычно я оставляю ВСТРОЕННЫЕ группы в покое, но если вы действительно заинтересованы в очистке, обратитесь к этому документу, какие детали для вас могут быть перемещены, но не могут быть перемещены. Обратите внимание на эту ссылку:

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...